智能音箱网络流量异常的检测方法、系统、设备和介质

1.本发明属于智能音箱技术领域，特别是涉及一种智能音箱网络流量异常的检测方法、系统、电子设备和存储介质。


背景技术：

2.语音是人们最常用的交流方式，同时也是人机交流的重要入口，智能音箱就承担着人们与智能家居设备沟通的中介角色，相当于智能家居中的网关。通过与智能音箱交互，人们可以方便快捷的与其他智能家居设备联通，例如播放音乐、打开/关闭灯光以及打开空气净化器等，如图1所示。由于智能音箱与人们的频繁交互，必定会存储并上传大量的用户数据以及隐私习惯，所以智能音箱的数据安全隐私在智能家居系统中显得尤为重要。在当前的智能家居系统中，智能音箱主要通过互联网来对接用户与设备之间的通信，包含了许多有关用户的隐私数据，而网络协议往往存在着一些安全问题，一旦遭受攻击往往会对用户隐私造成不可估量的伤害。因此智能家居系统的通信安全问题值得重视，也是研究人员的主要研究方向。智能音箱的异常流量，是一个具有实际意义的研究课题，特别是在当今日益增强隐私意识的社会。
3.目前网络流量异常的检测方法主要包括基于特征的异常检测、基于数理统计的异常检测和基于数据挖掘的异常检测。基于特征的异常检测主要是通过在网络流量中查找异常特征，并将网络流量中的异常行为与其相匹配，以此来发现和检测异常，是应用较广泛的一种异常检测方法，但是无法对未知类型的异常进行检测，只能根据预先定义好的特征匹配库存在的异常进行检测，因此需要不断的对匹配库进行更新。基于数理统计的异常检测使用统计分析方法总结异常流量数据来进行异常检测，一般分为基于空间的异常检测和基于时间的异常检测，基于空间的异常检测一般以全局观来对多链路网络异常流量进行检测和分析，其中比较主流的是子空间方法；基于时间的异常检测一般对流量时间序列进行检测和分析，如滤波分析技术等；基于数理统计的异常检测只能检测网络中是否存在异常行为，但是不能确定异常产生的原因以及异常发生的位置。基于数据挖掘的异常检测通常使用数据挖掘技术，针对规模巨大的数据流进行异常检测，常用的数据挖掘技术包括分类、聚类和关联规则等，常用算法有基因算法、神经网络算法和归纳规则算法等；这种方法通过对数据包进行追踪，利用分类聚合等方式对数据的特征进行分类，然后根据对异常流量的行为模式进行分析，从而检测异常，不仅根据数据流量来判定是否发生异常，还能查找异常出现的位置，但该方法的缺点是算法执行效率较低，不能满足流量大的网络联路异常对实时监测的要求，并且准确率偏低。


技术实现要素：

4.为了解决上述现有技术的不足，本发明提供了一种智能音箱网络流量异常的检测方法、系统、电子设备和存储介质，该方法是基于自相似性指数的网络流量异常检测方法，通过采集攻击阶段的网络流量，利用重标度极差分析法、方差时间法和迭代估计算法等方
法对选定的特征进行hurst指数估计，根据hurst值的取值范围来判断智能音箱网络的安全状况。当网络受到arp攻击时，hurst指数大幅度偏离正常hurst值，并且超过自相似性的hurst值区间(0，1)，此时网络的二阶自相似性消失，表明网络中出现异常，证明了该方法的有效性和可行性。
5.本发明的第一个目的在于提供一种智能音箱网络流量异常的检测方法。
6.本发明的第二个目的在于提供一种智能音箱网络流量异常的检测系统。
7.本发明的第三个目的在于提供一种电子设备。
8.本发明的第四个目的在于提供一种存储介质。
9.本发明的第一个目的可以通过采取如下技术方案达到：
10.一种智能音箱网络流量异常的检测方法，所述方法包括：
11.采集智能音箱网络流量数据；
12.对所述智能音箱网络流量数据进行预处理，得到特征数据集；
13.对所述特征数据集中的特征进行hurst指数估计，根据hurst值选取异常检测的特征；其中，所述进行hurst指数估计分别采用重标度极差分析法、方差时间法和迭代估计算法；
14.根据所述异常检测的特征，对待测智能音箱网络流量进行异常检测。
15.进一步的，所述对所述特征数据集中的特征进行hurst指数估计，根据hurst值选取异常检测的特征，具体包括：
16.剔除所述特征数据集中的最值特征，得到剔除后特征数据集；
17.分别采用所述重标度极差分析法、方差时间法和迭代估计算法对所述剔除后特征数据集中的特征进行hurst指数估计，分别得到相应的hurst值；
18.若所述剔除后特征数据集中的任意一个特征，分别采用所述重标度极差分析法、方差时间法和迭代估计算法得到的hurst值均超过设定范围，则将其从所述剔除后特征数据集中剔除；
19.同时将数据流持续时间为单点属性、不具备连续性的特征也从所述剔除后特征数据集中剔除，得到的剔除后特征数据集中的特征即为异常检测的特征。
20.进一步的，所述设定范围为(0，1)。
21.进一步的，所述智能音箱网络流量数据被保存为pcap文件，其中每行数据表示一个网络数据包，所述网络数据包包括源端口号、目标端口号、源ip地址、目标ip地址、unix时间戳、数据包载荷大小和协议类型信息。
22.进一步的，所述预处理包括流量聚合和特征处理，其中：
23.所述流量聚合，读取pcap文件，获取单个数据包的五元组信息；以所述五元组信息为依据，根据传输协议中的syn和fin标志位进行流切割，从而保存完整的网络流，得到双向流；
24.所述特征处理，将所述双向流中的数据转化为特征向量格式，再将双向流分为两个方向的单向流；根据流量数据包长度、载荷以及时间戳的统计特征，分别对双向流和单向流中的数据进行特征提取，特征数据集。
25.进一步的，所述根据所述异常检测的特征，对待测智能音箱网络流量进行异常检测，具体包括：
26.对待测智能音箱网络流量数据进行预处理，得到特征数据集；
27.对所述特征数据集中异常检测的特征进行hurst指数估计，根据hurst值确定待测智能音箱网络流量的异常。
28.进一步的，所述采集智能音箱网络流量数据，通过将交换机的流量镜像到流量采集主机，在采集主机上运行采集程序wireshark，从而实现智能音箱网络流量数据的采集。
29.本发明的第二个目的可以通过采取如下技术方案达到：
30.一种智能音箱网络流量异常的检测系统，所述系统包括：
31.数据采集模块，用于采集智能音箱网络流量数据；
32.数据预处理模块，用于对所述智能音箱网络流量数据进行预处理，得到特征数据集；
33.异常检测特征选取模块，用于对所述特征数据集中的特征进行hurst指数估计，根据hurst值选取异常检测的特征；其中，所述进行hurst指数估计分别采用重标度极差分析法、方差时间法和迭代估计算法；
34.异常检测模块，用于根据所述异常检测的特征，对待测智能音箱网络流量进行异常检测。
35.本发明的第三个目的可以通过采取如下技术方案达到：
36.一种电子设备，包括处理器以及用于存储处理器可执行程序的存储器，所述处理器执行存储器存储的程序时，实现上述的检测方法。
37.本发明的第四个目的可以通过采取如下技术方案达到：
38.一种存储介质，存储有程序，所述程序被处理器执行时，实现上述的检测方法。
39.本发明相对于现有技术具有如下的有益效果：
40.1、本发明采用重标度极差分析法(r/s)、方差时间法(v-t)和迭代估计算法对选定的特征进行hurst指数估计，确保检测方法的可靠性。
41.2、本发明采用重标度极差分析法、方差时间法和迭代估计算法对选定的特征进行hurst指数估计，通过判断hurst指数是否偏离正常hurst值和是否超过自相似性的hurst值区间(0，1)，从而进一步判断智能音箱网络流量的异常情况。实验证明了检测方法的有效性和可行性。
附图说明
42.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图。
43.图1为本发明实施例1的智能家居系统示意图。
44.图2为本发明实施例1的智能音箱网络流量异常的检测方法的流程图。
45.图3为本发明实施例1的智能音箱交互过程示意图。
46.图4为本发明实施例1的三次攻击后网络流量中编号为13-18特征对应的hurst值。
47.图5为本发明实施例2的智能音箱网络流量异常的检测系统的结构框图。
48.图6为本发明实施例3的电子设备的结构框图。
具体实施方式
49.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。应当理解，描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
50.实施例1：
51.如图2所示，本实施例提供了一种智能音箱网络流量的检测方法，包括以下步骤：
52.s201、采集智能音箱网络流量数据。
53.采集智能音箱流量时，为了减少对网络正常使用的影响和采集主机中其他应用产生的影响，将交换机的流量镜像到流量采集主机，通过在采集主机上运行采集程序wireshark实现流量采集。
54.智能音箱网络流量采集实验环境如图3所示。通过调用百度ai开放平台的语音合成接口，将语音会话转换成mp3音频文件，使用脚本文件按设定的时间进行会话播放，控制音频播放时间和音箱应答时间不被打断。
55.通过语音指令对智能音箱进行模拟操作，智能音箱的语音交互系统通过算法对语音指令进行识别，将语音信号转换为数字信号，之后将数字信号上传到云端服务器，云端服务器将进行语音数字编码识别和语义理解，再将处理结果反馈给路由器，因此所有智能音箱产生的网络流量都必须经过路由器，而交换机作为中介承接着互联网和路由器之间的流量传输，进而再利用交换机端口镜像功能将流经无线网卡的网络流量转发到监控主机，使用wireshark进行流量采集。采集到的网络流量被保存为pcap文件。
56.本实施例采用wireshark工具监听无线网卡。通过脚本文件播放音频文件模仿人机交互过程，然后利用交换机端口镜像功能将流经无线网卡的网络流量转发到监控主机，使用wireshark进行流量采集。采集到的网络流量被保存为pcap文件，其中每行数据表示一个网络数据包，包含了详细的数据，例如：源端口号、目标端口号、源ip地址、目标ip地址、unix时间戳、数据包载荷大小、协议类型等信息。
57.本实施例通过对智能音箱交互流量产生过程为时20小时的收集，采集的网络流量数据大小为10g，共12939197个数据包，包含的协议类型有https、tcp、udp、websocket等，并以pcap格式保存，便于流量分析。
58.s202、对智能音箱网络流量数据进行预处理，得到特征数据集。
59.数据预处理包括流量聚合和特征处理，其中：
60.流量聚合：网络流量中通常将具有相同五元组信息{源ip地址，目的ip地址，源端口号，目的端口号，传输协议}的数据包划分为同一条数据流。利用wireshark的tshark命令行工具读取pcap数据集，获取单个数据包的五元组信息并以此为依据进行网络流切割。因为流量采集过程中可能出现的网络波动问题导致网络流可能出现数据缺失，因此根据传输协议中的syn和fin标志位进行流切割，仅保存完整的网络流。网络流量聚合过程是先读取pcap文件，获取单个的数据包，判断数据包的五元组是否在现有的网络流中，如果在，便加入到五元组相同的网络流中，再检测pcap文件是否读取完毕，如果读取完成结束流量聚合过程，如果未读取完成返回获取单个数据包的阶段；如果不在网络流集合中，创建新的网络
流并且添加数据包到新的网络流，再检测pcap文件是否读取完毕，重复上述过程。
61.(2)特征处理：特征处理的核心工作在于将原始流量的pcap流量数据转化为特征向量格式，本实施例采用scapy工具对pcap数据进行流量解析，scapy是一个强大的网络流量数据包解析工具，并可以根据需求进行拓展使用。使用scapy提取出pcap数据中的网络通信字段，提取字段如表1所示：
62.表1数据包特征字段
[0063][0064]
本实施例只考虑使用传输层协议tcp流量的统计信息作为特征表示，在流量聚合步骤中，将原始流量数据转换为完整的网络流，将其称为双向流，而双向流中根据数据的传输方向，又可以分为两个方向的单向流，以a表示发送端，b表示接收端。根据流量数据包长度、载荷以及时间戳等统计特征，分别对双向流和单向流进行特征提取，共获得37个网络流特征值，如表2所示：
[0065]
表2网络流特征
[0066][0067]
经过流量聚合和特征处理，得到了智能音箱网络流量特征数据集。该数据集包含流量特征数据集共54320条，每条数据包含37个特征维度。
[0068]
s203、对特征数据集中的特征进行hurst指数估计，根据hurst值选取异常检测的特征。
[0069]
进一步的，步骤s203具体包括：
[0070]
s2031、采用重标度极差分析法、方差时间法和迭代估计算法对特征数据集中的特征进行hurst指数估计。
[0071]
异常检测的特征选取基于上述采集到的流量特征数据集，该数据集定义了从tcp数据包取值以及统计特征构成的37个特征属性，本实施例仅选取其中19个特征进行特征分析，剔除掉了最值特征，因为其表现有明显波动，不同的时间段、不同的网络状态或频繁交互都可能会产生异常值，这些数据对于自相似性的分析有较大影响，因此作为非常规数据处理。
[0072]
基于自相似性的网络流量异常检测中，网络数据流可以看作时间序列进行自相似分析，通过使用重标度极差分析法(r/s)、方差时间法(v-t)和迭代估计算法对选取的19个特征进行hurst指数估计，其中：
[0073]
(1)重标度极差分析法(r/s)。
[0074]
对于时间序列x＝{xn,n≥1}，将其分为长度为r的g个互不重叠的子区间，子序列为:
[0075]
x
11
,x
12
,...,x
1r
x
21
,x
22
,...x
2r
...x
g1
,x
g2
,...x
gr
[0076]
每一组子序列的均值为：
[0077][0078]
子序列每一个元素对应的离差为：
[0079][0080]
每一个子序列的累计离差计算为：
[0081][0082]
对应每一组子序列的极差计算为：
[0083]ri
＝max(z
ij
)-min(z
ij
)i＝1,2,
…
,g j＝1,2,
…
,r
ꢀꢀꢀ
(4)
[0084]
每组子序列的标准差为：
[0085][0086]
最终计算的rs值为：
[0087][0088]
对于自相似序列，和g的对数坐标为线性关系，在图像上表现其斜率即为hurst值。
[0089]
r/s分析法评估时间序列的自相似程度，它具有很好的稳定性，且算法实现清晰、易实现，一般用于分析时间序列的分布变化，r/s分析法常用于数据量足够大的样本数据集。
[0090]
(2)方差时间法(v-t)。
[0091]
时间方差法又称为v-t分析法(variance time method)，是对不同尺度聚合序列时间方差分析的一种聚类分析法。该方法利用堆叠过程xm的方差，通过分析自相似序列的慢衰减方差性质有：
[0092]
var(xm)～am-β
,0≤β≤1
ꢀꢀꢀ
(7)
[0093]
其中a是一个与m无关的正整数。
[0094]
设时间序列为xi，i＝1,2,
…
,n，其中n为时间序列长度，将其分为等长为m(m为正整数)的n个子序列，子序列为xm(k)，k＝1,2,
…
,n，且n＝n/m，计算各个子序列的聚集值xm(k)为：
[0095][0096]
计算子序列聚集值的方差varxm为：
[0097][0098]
对公式(7)两边取对数，可得：
[0099]
log(var(xm))～-βlog(m)+log(a),m
→
∞
ꢀꢀꢀ
(10)
[0100]
则在对数坐标系中的散点坐标为：p(logm,log(var(xm)))。根据散点坐标画出曲线，再根据最小二乘法线性拟合做出最小平方线直线，其斜率β与hurst指数的关系满足：
[0101][0102]
通过公式(11)得到hurst指数估计值。
[0103]
方差时间法在对数据集有一定限制，当数据读取单位或读取间隔较短时，此方法可识别出异常数据。
[0104]
(3)迭代估计算法。
[0105]
设网络流量序列x
t
是自相似的，其中x
t
表示在第i个时间周期内网络的业务量(一般为字节数、数据包数量等)，则其自相关函数ρk应该满足公式(12)，则对该公式进行变换得到hurst的迭代计算公式：
[0106]
ρk＝h(2h-1)k
2h-2
ꢀꢀꢀ
(12)
[0107][0108]
其中h称为hurst指数或自相似指数，其中h∈(0.5,1)。h值越大，其自相似程度就越高。由于∑kρk＝∞，所以称为长相关，这意味着k越大时，序列仍存在较大的相关性。因此，正确且快速的计算hurst指数对于研究网络的自相似特性及其变化具有非常重要的意义。
[0109]
对于给定的n个序列x1,x2,
…
,xn，令
[0110]
[0111][0112][0113]
和分别代表样本均值、样本协方差和样本自相关函数。利用样本自相关函数代替ρk，有hurst指数的迭代估计公式：
[0114][0115]
对一个长相关过程，设其初值但当k取1时，不仅能够获得足够精度的hurst估计值，而且能大大减少运算量。因此在公式(17)中取k＝1，得到简化的迭代估计公式：
[0116][0117]
通过不动点定理可以证明此公式在h∈(0.5,1)中的唯一性和收敛性。
[0118]
迭代估计算法仅需采集少量数据，即可获得较高的速度和精度，比较适合用于实时监测。
[0119]
s2032、根据重标度极差分析法、方差时间法和迭代估计算法分别计算出的hurst值，选取用于异常检测的特征。
[0120]
表3为数据集中19个特征属性及各属性hurst值估计结果。
[0121]
表3 19个特征属性及各属性hurst值估计
[0122][0123]
从表3中可以看出，编号1-12(数据包长度与载荷)这12个非时间相关特征属性进行hurst指数估计，其hurst值均大于1，说明这些非时间相关特征属性对于数据流的自相似性不提供统计特征贡献，故应将其剔除。编号13-19(数据包到达时间与数据流持续时间)这7个时间相关特征属性的hurst值处于区间(0，1)，而编号19的特征属性——数据流持续时间为单点属性，不具备连续性，在不同的交互应答中稳定性较差，hurst值差异过大，也应将其剔除。最终选取编号13-18、这六个包含统计信息丰富且具有时间相关属性的特征属性，作为异常检测所使用的特征属性。
[0124]
s204、根据异常检测的特征，对待测智能音箱网络流量进行异常检测。
[0125]
通过模拟arp攻击，对智能音箱网络流量进行异常检测。
[0126]
本实施例中采用的攻击方式为arp欺骗攻击。arp欺骗是通过伪装mac地址，让访问者误认为攻击者伪装的mac地址是需要访问的网关或主机的mac地址，导致网络受攻击，从而控制流量或获取加密流量的攻击手段。arp欺骗的目的一般不是直接导致网络无法通信，而是通过这种手段窃取目标与网关或主机之间的通信流量，获取隐私数据。
[0127]
具体的模拟方式为：在目标网络中，增加一台攻击主机，在攻击主机上使用scapy伪造arp请求数据包并不停向智能音箱发包，欺骗目标自己是网卡，致使智能音箱的数据经过攻击主机，以实现智能音箱不能上网或者对其数据进行监听的目的。
[0128]
分别采用r/s分析法、方差时间法和迭代估计算法三种方法，求出三次攻击后网络流量中编号为13-18共6个特征属性的hurst值，分别如图4所示。
[0129]
由于网络流量具有二阶自相似性，且网络流量这一随机过程具有长相关性，即存在hurst指数，且0.5《h《1。当hurst指数发生剧烈波动，迅速阶跃离开其置信区间(0，1)，网络流量的二阶相似性消失，表明网络中产生突发流量，智能音箱网络流量发生异常。由图4
可见，当hurst指数出现异常且表现明显，此时网络受到arp攻击，表明网络中流量呈现非正常的状态。
[0130]
本领域技术人员可以理解，实现上述实施例的方法中的全部或部分步骤可以通过程序来指令相关的硬件来完成，相应的程序可以存储于计算机可读存储介质中。
[0131]
应当注意，尽管在附图中以特定顺序描述了上述实施例的方法操作，但是这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。相反，描绘的步骤可以改变执行顺序。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
[0132]
实施例2：
[0133]
如图5所示，本实施例提供了一种智能音箱网络流量的分类系统，该系统包括数据采集模块501、数据预处理模块502、异常检测特征选取模块503和异常检测模块504，其中：
[0134]
数据采集模块501，用于采集智能音箱网络流量数据；
[0135]
数据预处理模块502，用于对所述智能音箱网络流量数据进行预处理，得到特征数据集；
[0136]
异常检测特征选取模块503，用于对所述特征数据集中的特征进行hurst指数估计，根据hurst值选取异常检测的特征；其中，所述进行hurst指数估计分别采用重标度极差分析法、方差时间法和迭代估计算法；
[0137]
异常检测模块504，用于根据所述异常检测的特征，对待测智能音箱网络流量进行异常检测。
[0138]
本实施例中各个模块的具体实现可以参见上述实施例1，在此不再一一赘述；需要说明的是，本实施例提供的系统仅以上述各功能模块的划分进行举例说明，在实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。
[0139]
实施例3：
[0140]
本实施例提供了一种电子设备，该电子设备可以为计算机，如图6所示，其通过系统总线601连接的处理器602、存储器、输入装置603、显示器604和网络接口605，该处理器用于提供计算和控制能力，该存储器包括非易失性存储介质606和内存储器607，该非易失性存储介质606存储有操作系统、计算机程序和数据库，该内存储器607为非易失性存储介质中的操作系统和计算机程序的运行提供环境，处理器602执行存储器存储的计算机程序时，实现上述实施例1的检测方法，如下：
[0141]
采集智能音箱网络流量数据；
[0142]
对所述智能音箱网络流量数据进行预处理，得到特征数据集；
[0143]
对所述特征数据集中的特征进行hurst指数估计，根据hurst值选取异常检测的特征；其中，所述进行hurst指数估计分别采用重标度极差分析法、方差时间法和迭代估计算法；
[0144]
根据所述异常检测的特征，对待测智能音箱网络流量进行异常检测。
[0145]
实施例4：
[0146]
本实施例提供了一种存储介质，该存储介质为计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时，实现上述实施例1的检测方法，如下：
[0147]
采集智能音箱网络流量数据；
[0148]
对所述智能音箱网络流量数据进行预处理，得到特征数据集；
[0149]
对所述特征数据集中的特征进行hurst指数估计，根据hurst值选取异常检测的特征；其中，所述进行hurst指数估计分别采用重标度极差分析法、方差时间法和迭代估计算法；
[0150]
根据所述异常检测的特征，对待测智能音箱网络流量进行异常检测。
[0151]
需要说明的是，本实施例的计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
[0152]
综上所述，本发明了提供了基于自相似指数hurst的智能音箱网络流量异常检测，通过初步判断剔除网络流量特征数据集中不稳定的最值属性，使用三种估计算法对剩余的特征属性进行hurst值估计，进一步剔除了对数据流的自相似性不提供贡献的非时间相关特征属性以及不稳定的时间相关属性，最终得到了异常检测的特征，同时证明了具有时间序列性质的特征具有自相似性，对网络数据流的自相似性有统计贡献。通过采集攻击阶段的网络流量，利用r/s分析法、方差时间法和迭代估计算法3种方法对所选定的异常检测的特征进行hurst指数估计，然后根据hurst值的取值范围来判断智能音箱网络的安全状况。实验证明，当网络受到arp攻击时，hurst指数大幅度偏离正常hurst值，并且超过自相似性的hurst值区间(0，1)，此时网络的二阶自相似性消失，说明网络中出现异常，同时也证明了基于自相似性指数的网络流量异常检测方案的有效性和可行性。
[0153]
以上所述，仅为本发明专利较佳的实施例，但本发明专利的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明专利所公开的范围内，根据本发明专利的技术方案及其发明构思加以等同替换或改变，都属于本发明专利的保护范围。